聯網類兒童玩具洩私隱 數據庫欠保安資料被公開

現在的兒童玩具相當先進,不少利用到物聯網的技術連接雲端次料庫,近日加州一家玩具公司Spiral Toys就證實其玩具CloudPets的數據庫曾遭黑客入侵,導致洩露用戶資料和私人語音訊息,其中大部份是由兒童錄製的語音訊息,所有資料都被發現被放到網絡上任人存取和複製。

CloudPets是能夠透過藍芽技術收發訊息的泰迪熊兒童玩具,與手機應用程式連結,兒童可以透過泰迪熊傳送語音訊息給父母或應用程式的持有人。
cp-top-glow-1-680x400

MongoDB數據庫欠網絡保護
事件由第三方的研究人員發現,記者向Spiral Toys查問下該公司才如夢初醒。根據公司向司法總長通報的資料透露,黑客可以直接從欠缺保護的MongoDB中自由複製和刪除資料,所以無法得知資料被存取的次數,只知道資料被刪除和黑客留下勒索訊息。

雖然用戶錄製的語音訊息並非直接儲存在數據庫內,但是它含有檔案的路徑指引,可以讀取存放在Amazon Web Services的錄音檔,數量超過200萬條語音訊息。此外,Spiral Toys證實外洩的資料還包括用戶的電郵地址及已加密的密碼,受影響人數約50萬人,已強制用戶重設密碼,並提高新密碼的強度要求,不過研究人員立即反駁該公司使用的加密技術可以輕易破解,而且有超過80萬名登記用戶的資料受事件影響。

業界普遍缺乏網絡安全知識
物聯網為用戶帶來很多方便也能為產品帶來新機遇,所以不同行業都樂於採用這種新技術,但是他們很多都並非IT專門的公司,在缺乏經驗和專業知識的情況下,在開發產品的過程中忽略了連接網絡後帶來保安的問題,導致資料洩露的報導接二連三出現,就以Spiral Toys的事件為例,產品原本的概念雖好,可惜就在網絡保安方面出現問題,幸好公司能夠從經驗中學習,開始研發更加安全的產品。

一般用戶在物聯網的保安問題方面比較被動,現時仍然只能依賴產品開發公司做好把關工作,用戶對產品保安問題有疑慮的時候只能選擇用與不用,對用戶而言並不理想,希望物聯網產品的業界能夠提高網絡安全,讓消費者能夠放心使用。